Udostępnij za pośrednictwem

  • Artykuł

Przygotowanie środowiska systemu Windows na program Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Informacje w poniższych sekcjach ułatwiają skonfigurowanie środowiska systemu Windows w celu obsługi programu System Center 2012 Configuration Manager.

  • Przygotowanie usługi Active Directory dla programu Configuration Manager

    • Rozszerzenie schematu usługi Active Directory

    • Tworzenie kontenera zarządzania systemem

    • Ustawianie uprawnień zabezpieczeń w kontenerze zarządzania systemem

    • Włączanie publikowania usługi Active Directory dla lokacji programu Configuration Manager

  • Konfigurowanie serwerów z systemem Windows dla ról systemowych lokacji programu Configuration Manager

    • Kompresja RDC

    • Internet Information Services (IIS)

    • Filtrowanie żądań w usługach IIS

Przygotowanie usługi Active Directory dla programu Configuration Manager

W przypadku rozszerzania schematu usługi Active Directory ta akcja dotyczy konfiguracji całego lasu i należy ją wykonać jeden raz w każdym lesie. Rozszerzenie schematu to nieodwracalna akcja, która musi być wykonana przez użytkownika będącego członkiem grupy administratorów schematu lub mającego uprawnienia wystarczające do modyfikacji schematu. Schemat usługi Active Directory można rozszerzyć przed instalacją lub po niej. Informacje ułatwiające podjęcie decyzji o rozszerzeniu schematu usługi Active Directory znajdują się w temacie Określanie, czy rozszerzyć schemat usługi Active Directory dla programu Configuration Manager.

System_CAPS_tipPorada

Jeżeli schemat usługi Active Directory został rozszerzony za pomocą rozszerzeń schematu programu Configuration Manager 2007, rozszerzanie schematu dla programu System Center 2012 Configuration Manager nie jest wymagane. Rozszerzenia schematu usługi Active Directory nie uległy zmianie w porównaniu z używanymi w programie Configuration Manager 2007.

Aby pomyślnie umożliwić klientom programu Menedżer konfiguracji wysyłanie kwerend do usług domenowych Active Directory, które pozwalają lokalizować zasoby lokacji, należy wykonać cztery następujące akcje:

  • Rozszerzenie schematu usługi Active Directory

  • Tworzenie kontenera zarządzania systemem

  • Ustawianie uprawnień zabezpieczeń w kontenerze zarządzania systemem

  • Włączanie publikowania usługi Active Directory dla lokacji programu Configuration Manager

Rozszerzenie schematu usługi Active Directory

Program Menedżer konfiguracji obsługuje dwie metody rozszerzania schematu usługi Active Directory. Pierwsza to użycie narzędzia extadsch.exe. Druga to użycie narzędzia LDIFDE w celu zaimportowania informacji o rozszerzeniu schematu za pomocą pliku ConfigMgr_ad_schema.ldf.

Uwaga

Przed rozszerzeniem schematu usługi Active Directory należy przetestować rozszerzenia schematu pod kątem konfliktów z bieżącym schematem usługi Active Directory. Informacje o sposobie rozszerzeń testowania schematu usługi Active Directory znajdują się w temacie Testing for Active Directory Schema Extension Conflicts (Testowanie pod kątem konfliktów rozszerzeń schematu usługi Active Directory) w dokumentacji usług domenowych w usłudze Active Directory.

Rozszerzenie schematu usługi Active Directory za pomocą programu ExtADSch.exe

Schemat usługi Active Directory można rozszerzyć, uruchamiając program extadsch.exe znajdujący się w folderze SMSSETUP\BIN\X64 na nośniku instalacyjnym programu Menedżer konfiguracji. Program extadsch.exe nie wyświetla danych wyjściowych, ale udostępnia informacje po uruchomieniu go z wiersza polecenia konsoli poleceń. Po uruchomieniu program extadsch.exe generuje w folderze głównym dysku systemowego plik dziennika extadsch.log określający, czy aktualizacja schematu została ukończona pomyślnie i zawierający informacje o problemach napotkanych podczas rozszerzania schematu.

System_CAPS_tipPorada

Oprócz generowania pliku dziennika program extadsch.exe wyświetla wyniki w oknie konsoli po uruchomieniu z wiersza polecenia.

Poniżej podano ograniczenia dotyczące korzystania z programu extadsch.exe:

  • Program Extadsch.exe nie jest obsługiwany na komputerach z systemem Windows 2000. Aby rozszerzyć schemat usługi Active Directory z komputera z systemem Windows 2000, należy użyć programu ConfigMgr_ad_schema.ldf.

  • Aby włączyć tworzenie pliku extadsch.log po uruchomieniu programu extadsch.exe na komputerze z system Windows Vista, należy zalogować się na komputerze za pomocą konta z uprawnieniami lokalnego administratora.

Aby rozszerzyć schemat usługi Active Directory za pomocą programu Extadsch.exe

  1. Utwórz kopię zapasową stanu systemu głównego kontrolera domeny schematu.

  2. Sprawdź, czy zalogowano się na głównym kontrolerze domeny schematu za pomocą konta, które jest członkiem grupy zabezpieczeń Administratorzy schematu.

    System_CAPS_importantWażne

    Aby pomyślnie rozszerzyć schemat, użytkownik musi być zalogowany jako członek grupy zabezpieczeń Administratorzy schematu. Uruchomienie programu extadsch.exe za pomocą polecenia Uruchom jako w celu rozszerzenia schematu za pomocą alternatywnych poświadczeń zakończy się niepowodzeniem.

  3. Uruchom program extadsch.exe znajdujący się w folderze \SMSSETUP\BIN\X64 na nośniku instalacyjnym, aby dodać nowe klasy i atrybuty do schematu usługi Active Directory.

  4. Sprawdź, czy rozszerzenie schematu powiodło się, przeglądając zawartość pliku extadsch.log znajdującego się w folderze głównym dysku systemowego.

  5. Jeżeli procedura rozszerzania schematu nie powiodła się, rozszerz poprzedni stan systemu głównego elementu schematu z kopii zapasowej 1.

    Uwaga

    Aby przywrócić stan systemu w kontrolerze domeny systemu Windows, należy uruchomić system ponownie w trybie przywracania usług katalogowych. Więcej informacji o trybie przywracania usług katalogowych znajduje się w temacie Restart the Domain Controller in Directory Services Restore Mode Locally (Ponowne lokalne uruchamianie kontrolera domeny w trybie przywracania usług katalogowych).

Rozszerzenie schematu usługi Active Directory za pomocą programu LDIF

Narzędzie wiersza polecenia LDIFDE umożliwia zaimportowanie obiektów katalogu do usług domenowych w usłudze Active Directory, używając plików LDIF (LDAP Data Interchange Format).

Aby uzyskać lepszą widoczność zmian wprowadzanych do schematu usługi Active Directory niż zapewnia narzędzie extadsch.exe, można użyć narzędzia LDIFDE w celu zaimportowania informacji o rozszerzeniu z wykorzystaniem pliku ConfigMgr_ad_schema.ldf znajdującego się w folderze SMSSETUP\BIN\X64 na nośniku instalacyjnym programu Menedżer konfiguracji.

Uwaga

Plik ConfigMgr_ad_schema.ldf nie uległ zmianie w porównaniu z wersją z dostępną w programie Configuration Manager 2007.

Aby rozszerzyć schemat usługi Active Directory za pomocą pliku ConfigMgr_ad_schema.ldf

  1. Utwórz kopię zapasową stanu systemu głównego kontrolera domeny schematu.

  2. Otwórz plik ConfigMgr_ad_schema.ldf znajdujący się w katalogu SMSSETUP\BIN\X64 na nośniku instalacyjnym programu Menedżer konfiguracji i przeprowadź edycję pliku, aby określić domenę główną usługi Active Directory do rozszerzenia. Wszystkie wystąpienia tekstu DC=x w pliku muszą zostać zastąpione pełną nazwą domeny do rozszerzenia.

    Jeżeli na przykład pełna nazwa domeny do rozszerzenia to widgets.microsoft.com, należy zastąpić wszystkie wystąpienia tekstu DC=x w pliku tekstem DC=widgets, DC=microsoft, DC=com.

  3. Użyj narzędzia wiersza polecenia LDIFDE w celu zaimportowania zawartości pliku ConfigMgr_ad_schema.ldf do usług domenowych w usłudze Active Directory.

    Przykładowo użycie następującego polecenia spowoduje zaimportowanie rozszerzeń schematu do usług domenowych Active Directory, włączenie pełnego rejestrowania i utworzenie pliku dziennika podczas procesu importowania: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <lokalizacja pliku dziennika>

  4. Aby sprawdzić, czy rozszerzenie schematu powiodło się, można przejrzeć plik dziennika utworzony przez polecenie wykonane w wierszu polecenia użyte w kroku 3.

  5. Jeżeli procedura rozszerzania schematu nie powiodła się, rozszerz poprzedni stan systemu głównego elementu schematu z kopii zapasowej 1.

    Uwaga

    Aby przywrócić stan systemu w kontrolerze domeny systemu Windows, należy uruchomić system ponownie w trybie przywracania usług katalogowych. Więcej informacji o trybie przywracania usług katalogowych znajduje się w temacie Restart the Domain Controller in Directory Services Restore Mode Locally (Ponowne lokalne uruchamianie kontrolera domeny w trybie przywracania usług katalogowych).

Tworzenie kontenera zarządzania systemem

Po rozszerzeniu schematu program Menedżer konfiguracji nie tworzy automatycznie kontenera programu System Management w usługach domenowych w usłudze Active Directory. Należy jednorazowo utworzyć kontener dla każdej domeny zawierającej serwer lokacji głównej lub dodatkowej programu Menedżer konfiguracji, który publikuje informacje o lokacji w usługach domenowych w usłudze Active Directory.

System_CAPS_tipPorada

Na komputerze serwerów lokacji można nadać uprawnienie Pełna kontrola kontenerowi System w usługach domenowych w usłudze Active Directory, co powoduje automatyczne utworzenie przez serwer lokacji kontenera programu System Management po pierwszym opublikowaniu informacji o lokacji w usługach domenowych w usłudze Active Directory. Jednakże bezpieczniejsze jest ręczne utworzenie kontenera programu System Management.

Aby utworzyć kontener programu System Management w usługach domenowych w usłudze Active Directory, należy użyć programu ADSI Edit. Więcej informacji o sposobie korzystania z programu ADSI Edit znajduje się w temacie ADSI Edit (adsiedit.msc) w dokumentacji usług domenowych w usłudze Active Directory.

Aby ręcznie utworzyć kontener zarządzania systemem

  1. Zaloguj się, korzystając z konta, które ma uprawnienie Tworzenie wszystkich obiektów podrzędnych w kontenerze System w usługach domenowych w usłudze Active Directory.

  2. Uruchom program ADSI Edit i połącz się z domeną, w której znajduje się serwer lokacji.

  3. Rozwiń węzeł Domena <w pełni kwalifikowana nazwa domeny komputera> oraz <nazwa wyróżniająca>, kliknij prawym przyciskiem myszy pozycję CN=System, kliknij polecenie Nowy, a następnie kliknij pozycję Obiekt.

  4. W oknie dialogowym Utwórz obiekt wybierz opcję Kontener, a następnie kliknij przycisk Dalej.

  5. W polu Wartość wpisz Zarządzanie systemem, a następnie kliknij przycisk Dalej.

  6. Kliknij przycisk Zakończ, aby ukończyć procedurę.

Ustawianie uprawnień zabezpieczeń w kontenerze zarządzania systemem

Po utworzeniu kontenera programu System Management w usługach domenowych w usłudze Active Directory należy przyznać kontu na komputerze serwera lokacji uprawnienia wymagane do opublikowania informacji o lokacji w kontenerze.

System_CAPS_importantWażne

Konto komputera serwera lokacji głównej musi mieć przyznane uprawnienia Pełna kontrola do kontenera programu System Management i wszystkich jego obiektów podrzędnych. Jeżeli używane są lokacje dodatkowe konto komputera serwera lokacji dodatkowej także musi mieć przyznane uprawnienia Pełna kontrola do kontenera programu System Management i wszystkich jego obiektów podrzędnych.

Wymagane uprawnienia można przyznać, korzystając z narzędzia administracyjnego Użytkownicy i komputery usługi Active Directory lub programu Active Directory Service Interfaces Editor (ADSI Edit). Więcej informacji o instalacji i korzystania z programu ADSI Edit znajduje się w temacie ADSI Edit (adsiedit.msc).

Uwaga

Poniższe procedury podano jako przykłady sposobu konfiguracji komputerów z systemem Windows Server 2008 R2. Jeżeli jest używana inna wersja systemu operacyjnego, na przykład system Windows Server 2012 R2, należy zapoznać się z jego dokumentacją, aby uzyskać informacje o sposobie tworzenia podobnych konfiguracji.

Aby zastosować uprawnienie do kontenera zarządzania systemem za pomocą narzędzia administracyjnego Użytkownicy i komputery usługi Active Directory

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, a następnie wprowadź tekst dsa.msc, aby uruchomić narzędzie administracyjne Użytkownicy i komputery usługi Active Directory.

  2. Kliknij menu Widok, a następnie kliknij polecenie Funkcje zaawansowane.

  3. Rozwiń kontener System, kliknij prawym przyciskiem myszy kontener Zarządzanie systemem, a następnie kliknij polecenie Właściwości.

  4. W oknie dialogowym Właściwości zarządzania systemem kliknij kartę Zabezpieczenia, a następnie kliknij przycisk Dodaj, aby dodać konto komputera serwera lokacji. Przyznaj kontu uprawnienia Pełna kontrola.

  5. Kliknij przycisk Zaawansowane, wybierz konto komputera serwera lokacji, a następnie kliknij przycisk Edytuj.

  6. Z listy Zastosuj do wybierz pozycję Ten obiekt i wszystkie obiekty zależne.

  7. Kliknij przycisk OK, a następnie zamknij narzędzie administracyjne Użytkownicy i komputery usługi Active Directory, aby dokończyć procedurę.

Aby zastosować uprawnienia do kontenera zarządzania systemem za pomocą konsoli programu ADSI Edit

  1. Kliknij przycisk Start, kliknij polecenie Uruchom i wprowadź tekst adsiedit.msc, aby uruchomić konsolę programu ADSIEdit.

  2. W razie potrzeby połącz się z domeną serwera lokacji.

  3. W okienku konsoli rozwiń domenę serwera lokacji, rozwiń węzeł DC=<nazwa wyróżniająca serwera>, a następnie rozwiń węzeł CN=System. Kliknij węzeł CN=Zarządzanie systemem prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.

  4. W oknie dialogowym CN=Właściwości zarządzania systemem kliknij kartę Zabezpieczenia, a następnie kliknij przycisk Dodaj, aby dodać konto komputera serwera lokacji. Przyznaj kontu uprawnienia Pełna kontrola.

  5. Kliknij przycisk Zaawansowane, wybierz konto komputera serwera lokacji, a następnie kliknij przycisk Edytuj.

  6. Z listy Zastosuj do wybierz pozycję Ten obiekt i wszystkie obiekty zależne.

  7. Kliknij przycisk OK, aby zamknąć program ADSIEdit i ukończyć procedurę.

Włączanie publikowania usługi Active Directory dla lokacji programu Configuration Manager

Oprócz rozszerzenia schematu usługi Active Directory, utworzenia kontenera programu System Management i ustawienia uprawnień dla tego kontenera, należy włączyć w programie Menedżer konfiguracji publikowanie danych w usługach domenowych w usłudze Active Directory. Więcej informacji o sposobie publikowania danych lokacji znajduje się w temacie Planowanie publikowania danych lokacji do usług domenowych Active Directory.

Konfigurowanie serwerów z systemem Windows dla ról systemowych lokacji programu Configuration Manager

Przed użyciem systemu Windows Server z programem System Center 2012 Configuration Manager należy sprawdzić, czy komputer jest skonfigurowany w celu obsługi operacji programu Menedżer konfiguracji. Informacje podane w poniższych sekcjach umożliwią skonfigurowanie serwerów z systemem Windows dla programu Menedżer konfiguracji. Więcej informacji dotyczących wymagań wstępnych dla roli systemu lokacji zawiera sekcja w temacie .No text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SiteSystemRolePrereqs

Uwaga

Procedury w poniższych sekcjach podano jako przykłady sposobu konfigurowania komputerów z systemem Windows Server 2008 lub Windows Server 2008 R2. Jeżeli jest używana inna wersja systemu operacyjnego, na przykład system Windows Server 2012 R2, należy zapoznać się z jego dokumentacją, aby uzyskać informacje o sposobie tworzenia podobnych konfiguracji.

Kompresja RDC

Serwery lokacji i punkty dystrybucji wymagają kompresji RDC (Remote Differential Compression) do wygenerowania podpisów pakietów i przeprowadzenia porównania podpisów. Jeżeli kompresja RDC nie jest włączona, należy włączyć ją na tych serwerach systemu lokacji.

Poniższa procedura przedstawia przykład sposobu włączania kompresji RDC na komputerach z systemem Windows Server 2008 i Windows Server 2008 R2. Jeżeli posiadasz inną wersję systemu operacyjnego, zapoznaj się z dokumentacją systemu operacyjnego w celu uzyskania odpowiedniej procedury.

Aby skonfigurować kompresję RDC w systemie Windows Server 2008 lub Windows Server 2008 R2

  1. Na komputerze z systemem Windows Server 2008 lub Windows Server 2008 R2 przejdź do pozycji Start / Wszystkie programy / Narzędzia administracyjne / Menedżer serwera, aby włączyć Menedżera serwera. W Menedżerze serwera wybierz węzeł Funkcje i kliknij opcje Dodaj funkcje, aby włączyć Kreatora dodawania funkcji.

  2. Na stronie Wybieranie funkcji wybierz opcję Kompresja RDC, a następnie kliknij przycisk Dalej.

  3. Zakończ pracę kreatora i zamknij Menedżera serwera, aby zakończyć konfigurację.

Internet Information Services (IIS)

Niektóre role systemu lokacji wymagają używania internetowych usług informacyjnych (IIS). Jeśli usługi IIS nie są włączone, należy je włączyć na serwerach systemu lokacji przed zainstalowaniem roli wymagającej tych usług. Oprócz serwera systemu lokacji, usługi IIS są wymagane przez następujące role systemów lokacji:

  • Punkt usługi sieci Web Wykaz aplikacji

  • Punkt witryny sieci Web katalogu aplikacji

  • Punkt dystrybucji

  • Punkt rejestracji

  • Punkt proxy rejestracji

  • Rezerwowy punkt stanu

  • Punkt zarządzania

  • Punkt aktualizacji oprogramowania

Minimalna wersja IIS wymagana przez program Menedżer konfiguracji to domyślna wersja dostarczana z systemem operacyjnym serwera, na którym jest uruchomiony system lokacji.

Jeśli na przykład włączasz usługi IIS na komputerze z systemem Windows Server 2008, który ma być punktem dystrybucji, instalowane są usługi IIS w wersji 7.0. Możesz także zainstalować usługi IIS 7.5. Jeśli włączasz usługi IIS na komputerze z systemem Windows 7, który ma być punktem dystrybucji, automatycznie są instalowane usługi IIS w wersji 7.5. Z punktem dystrybucji z systemem Windows 7 nie można używać usług IIS w wersji 7.0.

W poniższej procedurze opisano przykładową instalację usług IIS na komputerze z systemem Windows Server 2008 lub Windows Server 2008 R2. Jeżeli posiadasz inną wersję systemu operacyjnego, zapoznaj się z dokumentacją systemu operacyjnego w celu uzyskania odpowiedniej procedury.

Aby zainstalować internetowe usługi informacyjne (IIS) na komputerach z systemem Windows Server 2008 i Windows Server 2008 R2

  1. Na komputerze z systemem Windows Server 2008 lub Windows Server 2008 R2 przejdź do pozycji Start / Wszystkie programy / Narzędzia administracyjne / Menedżer serwera, aby włączyć Menedżera serwera. W Menedżerze serwera wybierz węzeł Funkcje i kliknij opcje Dodaj funkcje, aby włączyć Kreatora dodawania funkcji.

  2. Na stronie Wybieranie funkcji w Kreatorze dodawania funkcji zainstaluj wszystkie dodatkowe funkcje wymagane do obsługi ról systemu lokacji instalowanych na bieżącym komputerze. Aby na przykład dodać Rozszerzenia serwera usługi inteligentnego transferu w tle:

    - W systemie Windows Server 2008 zaznacz pole wyboru **Rozszerzenia serwera usługi inteligentnego transferu w tle**. W systemie Windows Server 2008 R2 zaznacz pole wyboru **Usługa inteligentnego transferu w tle**. Po wyświetleniu monitu kliknij polecenie **Dodaj wymagane usługi ról**, aby dodać składniki zależne, w tym rolę Serwer sieci Web (IIS), a następnie kliknij przycisk **Dalej**.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Hh221361.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(SC.12).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Porada</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Jeśli konfigurujesz komputer, który ma być serwerem lokacji lub punktem dystrybucji, upewnij się, że jest zaznaczone pole wyboru <strong>Kompresja RDC</strong>.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  3. Na stronie Serwer sieci Web (IIS) w Kreatorze dodawania funkcji kliknij przycisk Dalej.

  4. Na stronie Wybieranie usług ról w Kreatorze dodawania funkcji zainstaluj wszystkie dodatkowe usługi ról wymagane do obsługi ról systemu lokacji instalowanych na bieżącym komputerze. Aby na przykład dodać usługi ASP.NET i Uwierzytelnianie systemu Windows:

    - W obszarze **Projektowanie aplikacji** zaznacz pole wyboru **ASP.NET**, a następnie po wyświetleniu monitu kliknij polecenie Dodaj wymagane usługi ról, aby dodać składniki zależne.

- W obszarze **Bezpieczeństwo** zaznacz pole wyboru **Uwierzytelnianie systemu Windows**.

  5. Upewnij się, że w węźle Narzędzia do zarządzania obszaru Zgodność z narzędziami zarządzania usługami IIS w wersji 6 są zaznaczone pola wyboru Zgodność z metabazą usług IIS 6 oraz Zgodność z usługą WMI dla usług IIS 6, a następnie kliknij przycisk Dalej.

  6. Na stronie Potwierdzenie kliknij przycisk Instaluj, zakończ pracę kreatora i zamknij Menedżera serwera, aby zakończyć konfigurację.

Filtrowanie żądań w usługach IIS

Domyślnie usługi IIS blokują komunikacji HTTP lub HTTPS dostęp do pewnych rozszerzeń nazw plików i lokalizacji folderów. Jeśli pliki źródłowe pakietu mają rozszerzenia blokowane przez usługi IIS, musisz skonfigurować sekcję requestFiltering w pliku applicationHost.config na komputerach punktów dystrybucji.

Pakiety i aplikacje używane w programie Menedżer konfiguracji mają poniższe rozszerzenia nazw plików. Dostęp do punktów dystrybucji należy zezwolić następującym rozszerzeniom:

  • *.PCK

  • *.PKG

  • *.STA

  • *.TAR

Możesz na przykład mieć pliki źródłowe wdrożenia oprogramowania z folderem o nazwie bin lub plikiem o rozszerzeniu nazwy pliku mdb. Domyślnie funkcja filtrowania żądań usług IIS blokuje dostęp do tych elementów. W przypadku używania domyślnej konfiguracji usług IIS w punkcie dystrybucji klienci używający usługi BITS nie będą mogli pobierać tego wdrożenia oprogramowania dla punktu dystrybucji. W tym scenariuszu klienci oczekują tej zawartości. Aby umożliwić klientom pobranie tej zawartości za pomocą usługi BITS w każdym odnośnym punkcie dystrybucji, edytuj sekcję requestFiltering pliku applicationHost.config tak, aby zezwolić na dostęp do plików i folderów wdrożenia oprogramowania.

System_CAPS_importantWażne

Modyfikacje sekcji requestFiltering mają zastosowanie do wszystkich witryn sieci web na tym serwerze. Taka konfiguracja zwiększa obszar komputera narażony na ataki. Najlepszym rozwiązaniem bezpieczeństwa jest uruchomienie programu Menedżer konfiguracji na dedykowanym serwerze sieci web. W razie konieczności uruchomienia na serwerze sieci web innych aplikacji użyj dla programu Menedżer konfiguracji niestandardowej witryny sieci web. Informacje o niestandardowych witrynach internetowych zawiera sekcja Planowanie niestandardowych witryn sieci web w programie Configuration Manager w temacie Planowanie systemów lokacji w programie Configuration Manager.

W poniższej procedurze opisano przykładową modyfikację sekcji requestFiltering na komputerze z systemem Windows Server 2008 lub Windows Server 2008 R2. Jeżeli posiadasz inną wersję systemu operacyjnego, zapoznaj się z dokumentacją systemu operacyjnego w celu uzyskania odpowiedniej procedury.

Aby skonfigurować filtrowanie żądań dla usług IIS w punktach dystrybucji

  1. Na komputerze punktu dystrybucji otwórz plik applicationHost.config znajdujący się w katalogu %Windir%\System32\Inetsrv\Config\.

  2. Wyszukaj sekcję <requestFiltering>.

  3. Zidentyfikuj, jakie rozszerzenia nazw plików i nazwy folderów będą się znajdować w pakiecie w tym punkcie dystrybucji. W odniesieniu do każdego wymaganego rozszerzenia i nazwy folderu wykonaj poniższe czynności:

    - Jeśli filtrowana nazwa znajduje się w elemencie **fileExtension**, ustaw wartość właściwości **allowed** na **true**.

  Jeśli na przykład zawartość obejmuje plik z rozszerzeniem mdb, zmień wiersz **\<add fileExtension=".mdb" allowed="false" /\>** na **\<add fileExtension=".mdb" allowed="true" /\>**.

  Zezwól tylko na te rozszerzenia nazw plików, które są konieczne.

- Jeśli filtrowana nazwa znajduje się w elemencie **\<hiddenSegments\>**, usuń z pliku wpis odpowiadający rozszerzeniu nazwy pliku lub nazwie folderu.

  Jeśli na przykład Twoja zawartość obejmuje folder o nazwie **bin**, usuń z pliku wiersz **\<add segment=”bin” /\>**.

  4. Zapisz i zamknij plik applicationHost.config, aby zakończyć konfigurację.